ipfw + nat + dummynet (+ bridge)

[Zbyněk Burget]

Zdravim vespolek,

precetl jsem si o dane problematice, co jsem nasel (many, handbook a
prislusne state v obou knihach, ktere u nas vysly), nicmene mam stale
nekolik nejasnosti... Nejde mi o to, mit to jen nastavene tak, aby to nejak
fungovalo (co je soucasny stav), ale taky bych rad vedel, jak to vlastne
funguje. Pokud jsou me otazky popsano jeste nekde jinde, staci mi odkaz.

V ipfw(8) jsem se docetl, ze po pruchodu paketu pres pravidlo dummynet se
paket vraci do firewallu, pokud neni nastaveny jednopruchodovy ipfw. Jak je
to v pripade pravidla divert natd ... ? Taky by se pri jednopruchodovem ipfw
uz nevratil?

Pokud nemam jednopruchodove ipfw a povolim prichozimu paketu pruchod pres
ipfw (pravidlo allow), kam ten paket potom jde? Uz rovnou na odchozi adapter
(tedy skrz prislusne komunikacni vrstvy) nebo je jeste nejaka sance
(nebezbeci) ze se do ipfw vrati?

K cemu jsou dobra pravidla zpracovavajici pakety v layer 2? Jde s nimi
udelat vsechno to, co s normalnimi pravidly nebo jsou tam nejaka omezeni? To
jsem z zadneho textu oprvadu nepochopil. Asi by pruchod takoveho paketu
firewallem mel byt rychlejsi (jak potom funguje nat a dummynet).

K cemu je bridge(4)? Urychleni pruchodu paketu routerem? Paket se v tomhle
pripade nijak nezmeni? Paket se nejak zmeni, pokud bridge neni aktivovany?
Jsou v pripade pouziti bridge nejake omezene moznosti ipfw (resp. dummynetu
a natu)?

Jak dalece je pouzitelny dummynet pro nastaveni spravedlnosti pri rozdeleni
pasma pri prichozi traffic? Pokud budu mit napr. linku 256 a budu ji delit
mezi 4 stroje tak, ze bude mit kazdy 64, nastavim 4 pipe po 64 - no problem.
Ale - pokud budu chtit, aby ty stroje sdilely 256 tak, aby se delily rovnym
dilem. Rekneme ze budou mit stejne podminky - ctyri stroje v podsiti pred
routerem A, B, C, D a ctyri stroje v podsiti za routerem W, X, Y, Z. Stroj A
taha z W, B z X, C z Y, D ze Z obe podsite jsou propojeny linkou, ktera ma
fyzicky 256. I kdyz nastavim pipe 256 se 4 queue s vahami po 25 %, zacne
tahat prvni stroj, obsadi celou sirku linky, pak zacnou tahat ostatni tri
stroje, rozdeli dummynet pasmo spravedlive? Myslim si ze ne. Protoze pres tu
fyzickou linku proste vic neproleze a dummynet nebude mit duvod zahazovat
pakety. Jak by se to dalo resit? Umyslne nahodne zahazovat nejakou cast
trafficu? Jestli je tohle cesta, kolik procent trafficu je potreba zahodit?
Co se stane, kdybych nadefinoval 4 pipe po 256? Pripada mi to jako nesmysl,
ale reseni nekterych problemu ne vzdy vypadaji logicky.
Bude trafic shaping obecne fungovat v pripade fyzicke linky 512 a dvou pipe
256? Porad se bavim o prichozim trafficu - predpokladam ze shaping pro
odchozi traffic je bez problemu...

Za jakekoliv vysvetleni nebo odkaz na dalsi literaturu predem velice dekuji

Zbynek